리포지토리, 아티팩트 및 기타 리소스에 액세스

Azure DevOps Services | Azure DevOps Server 2022 - Azure DevOps Server 2019

런타임에 파이프라인의 각 작업은 Azure DevOps의 다른 리소스에 액세스할 수 있습니다. 예를 들어 작업은 다음을 수행할 수 있습니다.

• Git 리포지토리에서 소스 코드 확인
• 리포지토리에 태그 추가
• Azure Artifacts에서 피드 액세스
• 에이전트에서 서비스로 로그 업로드
• 에이전트에서 서비스로 테스트 결과 및 기타 아티팩트 업로드
• 작업 항목 업데이트

Azure Pipelines는 작업 액세스 토큰을 사용하여 이러한 작업을 수행합니다. 작업 액세스 토큰은 런타임에 각 작업에 대해 Azure Pipelines에 의해 동적으로 생성되는 보안 토큰입니다. 작업이 실행 중인 에이전트는 Azure DevOps에서 이러한 리소스에 액세스하기 위해 작업 액세스 토큰을 사용합니다. 작업 액세스 토큰에 권한이 부여되는 방식을 제어하여 파이프라인이 액세스할 수 있는 리소스를 제어할 수 있습니다.

토큰의 권한은 (a) 작업 권한 부여 범위 및 (b) 프로젝트 또는 컬렉션 빌드 서비스 계정에 설정한 권한에서 파생됩니다.

작업 권한 부여 범위

작업 권한 부여 범위를 컬렉션 또는 프로젝트로 설정할 수 있습니다. 범위를 컬렉션으로 설정하여 파이프라인이 컬렉션 또는 조직의 모든 리포지토리에 액세스할 수 있도록 합니다. 범위를 프로젝트로 설정하여 파이프라인과 동일한 프로젝트에 있는 리포지토리에만 액세스를 제한하도록 선택합니다.

YAML

작업 권한 부여 범위는 전체 Azure DevOps 조직 또는 특정 프로젝트에 대해 설정할 수 있습니다.

• 모든 프로젝트에 대한 조직 수준에서 작업 권한 부여 범위를 설정하려면 조직 설정>파이프라인>설정 선택합니다.
• 특정 프로젝트에 대한 작업 권한 부여 범위를 설정하려면 프로젝트 설정>파이프라인>설정 선택합니다.

다음 설정 중 하나 이상을 사용하도록 설정합니다. 파이프라인에 대한 보안을 강화하므로 이러한 설정을 사용하도록 설정하는 것이 좋습니다.

• 작업 권한 부여 범위를 릴리스되지 않은 파이프라인의 현재 프로젝트로 제한 - 이 설정은 YAML 파이프라인 및 클래식 빌드 파이프라인에 적용되며 클래식 릴리스 파이프라인에는 적용되지 않습니다.
• 작업 권한 부여 범위를 릴리스 파이프라인 의 현재 프로젝트로 제한 - 이 설정은 클래식 릴리스 파이프라인에 만 적용됩니다 .

참고 항목

범위가 조직 수준에서 프로젝트로 설정된 경우 각 프로젝트의 범위를 변경할 수 없습니다.

Important

범위가 조직 수준 또는 프로젝트 수준에서 제한되지 않는 경우 YAML 파이프라인의 모든 작업은 컬렉션 범위 작업 액세스 토큰을 가져옵니다. 즉, 파이프라인은 조직의 모든 프로젝트에서 모든 리포지토리에 액세스할 수 있습니다. 악의적 사용자가 단일 프로젝트에서 단일 파이프라인에 액세스할 수 있는 경우 조직의 모든 리포지토리에 액세스할 수 있습니다. 따라서 단일 프로젝트에 대한 공격을 포함하기 위해 가장 높은 수준(조직 설정)에서 범위를 제한하는 것이 좋습니다.

클래식

작업 권한 부여 범위는 전체 Azure DevOps 조직, 특정 프로젝트 또는 특정 파이프라인에 대해 설정할 수 있습니다.

• 모든 프로젝트에 대한 조직 수준에서 작업 권한 부여 범위를 설정하려면 조직 설정>파이프라인>설정 선택합니다.
• 특정 프로젝트에 대한 작업 권한 부여 범위를 설정하려면 프로젝트 설정>파이프라인>설정 선택합니다.

다음 설정 중 하나 이상을 사용하도록 설정합니다. 파이프라인에 대한 보안을 강화하므로 이러한 설정을 사용하도록 설정하는 것이 좋습니다.

• 작업 권한 부여 범위를 릴리스되지 않은 파이프라인의 현재 프로젝트로 제한 - 이 설정은 YAML 파이프라인 및 클래식 빌드 파이프라인에 적용되며 클래식 릴리스 파이프라인에는 적용되지 않습니다.
• 작업 권한 부여 범위를 릴리스 파이프라인 의 현재 프로젝트로 제한 - 이 설정은 클래식 릴리스 파이프라인에 만 적용됩니다 .

참고 항목

범위가 조직 수준에서 프로젝트로 설정된 경우 각 프로젝트의 범위를 변경할 수 없습니다.

특정 파이프라인에 대한 작업 권한 부여 범위를 설정하려면 다음을 수행합니다.

• 파이프라인 페이지에서 파이프라인으로 이동합니다.
• 편집을 선택하여 파이프라인을 편집합니다.
• 옵션 탭에서 빌드 작업 권한 부여 범위에 대한 프로젝트 컬렉션 또는 현재 프로젝트를 선택합니다.
• 빌드 파이프라인을 저장합니다.

Important

범위가 조직 수준 또는 프로젝트 수준에서 제한되지 않는 경우 파이프라인 작성자가 리포지토리에 필요한 액세스를 결정할 수 있도록 허용합니다. 악의적 사용자가 한 프로젝트에서 파이프라인을 만들거나 편집할 수 있는 경우 조직의 모든 리포지토리에 액세스할 수 있습니다. 따라서 단일 프로젝트에 대한 공격을 포함하기 위해 가장 높은 수준(조직 설정)에서 범위를 제한하는 것이 좋습니다.

참고 항목

파이프라인이 공용 프로젝트에 있는 경우 작업 권한 부여 범위는 설정에서 구성한 내용에 관계없이 프로젝트로 자동으로 제한됩니다. 공용 프로젝트의 작업은 조직의 다른 프로젝트가 아닌 프로젝트 내에서만 빌드 아티팩트 또는 테스트 결과와 같은 리소스에 액세스할 수 있습니다.

YAML 파이프라인에서 리포지토리에 대한 액세스 보호

이전 섹션에서 설명한 작업 권한 부여 범위 설정 외에도 Azure Pipelines는 YAML 파이프라인 설정의 리포지토리에 대한 액세스 보호 기능을 제공합니다.

YAML 파이프라인의 리포지토리에 대한 액세스를 보호하지 않는 한 파이프라인은 권한 있는 프로젝트의 모든 Azure DevOps 리포지토리에 액세스할 수 있습니다 . 이 옵션을 사용하도록 설정하면 모든 파이프라인에 대한 액세스 범위를 해당 리포지토리를 사용하는 파이프라인 작업의 단계 또는 uses 문에서 명시적으로 참조한 checkout Azure DevOps 리포지토리로만 줄일 수 있습니다.

자세한 내용은 Azure Repos Git 리포지토리 - YAML 파이프라인의 리포지토리에 대한 액세스 보호를 참조하세요.

Important

YAML 파이프라인 의 리포지토리에 대한 액세스 보호는 기본적으로 2020년 5월 이후에 만들어진 새 조직 및 프로젝트에 대해 사용하도록 설정됩니다.

범위가 지정된 빌드 ID

Azure DevOps는 두 개의 기본 제공 ID를 사용하여 파이프라인을 실행합니다.

• 컬렉션의 모든 프로젝트(또는 Azure DevOps Services의 조직)에 액세스할 수 있는 컬렉션 범위 ID
• 단일 프로젝트에 액세스할 수 있는 프로젝트 범위 ID

이러한 ID는 Azure DevOps 시스템으로 다시 호출할 때 빌드/릴리스 실행 시간 작업을 수행하는 데 필요한 할당된 권한입니다. 기본 제공 기본 사용 권한이 있으며 필요에 따라 사용자 고유의 권한을 관리할 수도 있습니다.

컬렉션 범위 ID 이름은 다음과 같은 형식입니다.

• Project Collection Build Service ({OrgName})
• 예를 들어 조직 이름이면 fabrikam-tailspin이 계정에는 이름이 Project Collection Build Service (fabrikam-tailspin)있습니다.

프로젝트 범위 ID 이름은 다음과 같은 형식입니다.

• {Project Name} Build Service ({Org Name})
• 예를 들어 조직 이름이고 프로젝트 이름이 fabrikam-tailspin 면 SpaceGameWeb이 계정에는 이름이 SpaceGameWeb Build Service (fabrikam-tailspin)있습니다.

이전 작업 권한 부여 범위 섹션에 설명된 대로 구성하지 않는 한 기본적으로 컬렉션 범위 ID가 사용됩니다.

빌드 서비스 계정 권한 관리

프로젝트 범위 액세스를 설정하면 프로젝트 범위 ID에 컬렉션 범위가 지정된 리소스에 대한 권한이 없을 수 있습니다.

다음과 같은 시나리오에서 작업 액세스 토큰의 권한을 변경할 수 있습니다.

• 파이프라인이 다른 프로젝트에 있는 피드에 액세스하도록 합니다.
• 리포지토리에서 코드를 변경하지 못하도록 파이프라인을 제한하려고 합니다.
• 파이프라인이 작업 항목을 만들지 못하도록 제한하려고 합니다.

작업 액세스 토큰의 권한을 업데이트하려면 다음을 수행합니다.

• 먼저 파이프라인에 대한 작업 권한 부여 범위를 결정합니다. 작업 권한 부여 범위를 이해하려면 위의 섹션을 참조하세요. 작업 권한 부여 범위가 컬렉션인 경우 권한을 관리하는 해당 빌드 서비스 계정은 Project Collection Build Service(컬렉션 이름)입니다. 작업 권한 부여 범위가 프로젝트인 경우 권한을 관리하는 빌드 서비스 계정은 Your-project-name Build Service(your-collection-name)입니다.

• Project Collection Build Service(컬렉션 이름)에 대한 추가 액세스를 제한하거나 부여하려면 다음을 수행합니다.

  • 파이프라인 페이지의 오버플로 메뉴에서 보안 관리를 선택합니다.
  • 사용자 아래에서 프로젝트 컬렉션 빌드 서비스(컬렉션 이름)를 선택합니다.
  • 이 계정에 대한 파이프라인 관련 사용 권한을 변경합니다.
  • Azure DevOps 조직의 조직 설정(또는 프로젝트 컬렉션에 대한 컬렉션 설정)으로 이동합니다.
  • 보안에서 권한을 선택합니다.
  • 사용자 탭에서 프로젝트 컬렉션 빌드 서비스(컬렉션 이름)를 찾 습니다.
  • 이 계정에 대한 비 파이프라인 관련 사용 권한을 변경합니다.
  • Project Collection Build Service(사용자 컬렉션 이름)는 조직 또는 컬렉션의 사용자이므로 Azure Artifacts의 피드와 같은 모든 리소스에 이 계정을 명시적으로 추가할 수 있습니다.

• 프로젝트 이름 빌드 서비스(your-collection-name)에 대한 추가 액세스를 제한하거나 부여하려면 다음을 수행합니다.

  • 권한을 관리할 수 있는 빌드 서비스 계정은 파이프라인을 한 번만 실행한 후에만 만들어집니다. 파이프라인을 이미 한 번 실행했는지 확인합니다.
  • 파이프라인 페이지의 오버플로 메뉴에서 보안 관리를 선택합니다.
  • 사용자 아래에서 프로젝트 이름 빌드 서비스(컬렉션 이름)를 선택합니다.
  • 이 계정에 대한 파이프라인 관련 사용 권한을 변경합니다.
  • Azure DevOps 조직의 조직 설정(또는 프로젝트 컬렉션에 대한 컬렉션 설정)으로 이동합니다.
  • 보안에서 권한을 선택합니다.
  • 사용자 탭에서 프로젝트 이름 빌드 서비스(컬렉션 이름)를 찾 습니다.
  • 이 계정에 대한 비 파이프라인 관련 사용 권한을 변경합니다.
  • 프로젝트 이름 빌드 서비스(your-collection-name)는 조직 또는 컬렉션의 사용자이므로 Azure Artifacts의 피드와 같은 모든 리소스에 이 계정을 명시적으로 추가할 수 있습니다.

동일한 프로젝트 컬렉션의 다른 프로젝트에 액세스하도록 프로젝트에 대한 권한 구성

이 예제 fabrikam-tailspin/SpaceGameWeb 에서는 프로젝트 범위 빌드 ID에 프로젝트에 액세스할 fabrikam-tailspin/FabrikamFiber 수 있는 권한이 부여됩니다.

1. FabrikamFiber 프로젝트에서 프로젝트 설정인 사용 권한으로 이동합니다.

   

2. 외부 프로젝트라는 새 그룹을 만들고 SpaceGameWeb 빌드 서비스 계정을 추가합니다.

3. 사용자를 선택하고, SpaceGameWeb이라는 이름을 입력하기 시작하고, SpaceGameWeb 빌드 서비스 계정을 선택합니다. 처음에 검색 결과가 표시되지 않으면 검색 확장을 선택합니다.

   

4. 해당 사용자에 대한 프로젝트 수준 정보 보기 권한을 부여합니다.

   

예제 - 동일한 프로젝트 컬렉션의 다른 리포지토리에 액세스할 수 있는 권한 구성

이 예제 fabrikam-tailspin/SpaceGameWeb 에서는 프로젝트 범위 빌드 ID에 프로젝트의 리포지토리에 액세스할 수 FabrikamFiber 있는 fabrikam-tailspin/FabrikamFiber 권한이 부여됩니다.

1. 단계에 따라 프로젝트 범위 빌드 ID에 프로젝트에 액세스할 FabrikamFiber 수 있는 권한을 부여 SpaceGameWeb 합니다.

2. FabrikamFiber 프로젝트에서 프로젝트 설정, 리포지토리, FabrikamFiber로 이동합니다.

   

3. SpaceGameWeb이라는 이름을 입력하기 시작하고 SpaceGameWeb 빌드 서비스 계정을 선택합니다.

   

4. 해당 사용자에 대한 읽기 권한을 부여합니다.

   

예제 - 동일한 프로젝트 컬렉션의 다른 리소스에 액세스할 수 있는 권한 구성

이 예제 fabrikam-tailspin/SpaceGameWeb 에서는 프로젝트 범위 빌드 ID에 프로젝트의 다른 리소스에 액세스할 수 있는 fabrikam-tailspin/FabrikamFiber 권한이 부여됩니다.

1. 단계에 따라 프로젝트 범위 빌드 ID에 프로젝트에 액세스할 FabrikamFiber 수 있는 권한을 부여 SpaceGameWeb 합니다.

2. 해당 사용자에 대해 원하는 권한을 구성합니다.

   

FAQ

YAML 파이프라인의 작업 권한 부여 범위를 확인할 어떻게 할까요? 있나요?

• 프로젝트가 공용 프로젝트인 경우 작업 권한 부여 범위는 다른 설정과 관계없이 항상 프로젝트 입니다.

• 파이프라인이 프라이빗 프로젝트에 있는 경우 Azure DevOps Organization 설정에서 파이프라인 설정을 검사.
  • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한하는 경우 범위는 프로젝트입니다.
  • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한할 수 없는 경우 Azure DevOps의 프로젝트 설정에서 파이프라인 설정을 검사.
    • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한하는 경우 범위는 프로젝트입니다.
    • 그렇지 않으면 범위가 컬렉션입니다.

클래식 빌드 파이프라인의 작업 권한 부여 범위를 확인할 어떻게 할까요? 있나요?

• 파이프라인이 공용 프로젝트에 있는 경우 작업 권한 부여 범위는 다른 설정과 관계없이 프로젝트입니다.

• 파이프라인이 프라이빗 프로젝트에 있는 경우 Azure DevOps Organization 설정에서 파이프라인 설정을 검사.
  • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한하는 경우 범위는 프로젝트입니다.
  • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한할 수 없는 경우 Azure DevOps의 프로젝트 설정에서 파이프라인 설정을 검사.
    • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한하는 경우 범위는 프로젝트입니다.
    • 릴리스되지 않은 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한할 수 없는 경우 파이프라인에 대한 편집기를 열고 옵션 탭으로 이동합니다.
      • 빌드 작업 권한 부여 범위가 현재 프로젝트인 경우 범위는 프로젝트입니다.
      • 또는 범위가 컬렉션입니다.

새 클래식 파이프라인을 만들 때 작업 권한 부여 범위는 현재 프로젝트로 설정되고 빌드 작업 권한 부여 범위는 기본적으로 프로젝트로 설정됩니다.

클래식 릴리스 파이프라인의 작업 권한 부여 범위를 확인할 어떻게 할까요? 있나요?

• 파이프라인이 공용 프로젝트에 있는 경우 작업 권한 부여 범위는 다른 설정과 관계없이 프로젝트입니다.

• 파이프라인이 프라이빗 프로젝트에 있는 경우 Azure DevOps Organization 설정에서 파이프라인 설정을 검사.
  • 릴리스 파이프라인에 대한 작업 권한 부여 범위를 현재 프로젝트로 제한하는 경우 범위는 프로젝트입니다.
  • 릴리스 파이프라인에 대한 현재 프로젝트로 작업 권한 부여 범위를 제한할 수 없는 경우 Azure DevOps의 프로젝트 설정에서 파이프라인 설정을 검사.
    • 릴리스 파이프라인에 대한 작업 권한 부여 범위를 현재 프로젝트로 제한하는 경우 범위는 프로젝트입니다.
    • 그렇지 않으면 범위가 컬렉션입니다.